Tổng hợp 10 sự kiện an ninh lớn trong lĩnh vực Web3 năm 2024

Năm 2024, ngành công nghiệp blockchain đang đối mặt với những thách thức về an ninh ngày càng nghiêm trọng ngay cả khi vẫn tiếp tục đổi mới và phát triển. Theo thống kê từ các nền tảng dữ liệu, tính đến thời điểm hiện tại, tổng thiệt hại trong lĩnh vực Web3 do tấn công của hacker, lừa đảo và các dự án bỏ trốn đã lên tới 2,491 triệu đô la Mỹ.

Những sự kiện này không chỉ phơi bày các lỗ hổng ở cấp độ kỹ thuật như quản lý khóa riêng, hợp đồng thông minh mà còn làm nổi bật các rủi ro tiềm ẩn trong kỹ thuật xã hội và quản lý nội bộ. Bài viết này sẽ điểm qua mười sự kiện an ninh lớn nhất trong lĩnh vực Web3 năm 2024, để ngành công nghiệp có thể rút ra bài học và ứng phó tốt hơn với các mối đe dọa an ninh trong tương lai.

1. Một sàn giao dịch tiền điện tử Nhật Bản gặp phải cuộc tấn công lớn.

Số tiền tổn thất: 3.04 triệu USD Phương thức tấn công: Rò rỉ khóa riêng

Vào ngày 31 tháng 5 năm 2024, một sàn giao dịch tiền điện tử nổi tiếng của Nhật Bản đã gặp phải một cuộc tấn công lịch sử. Kẻ tấn công đã sử dụng khóa riêng bị rò rỉ để chuyển trực tiếp hơn 300 triệu USD Bitcoin, và nhanh chóng phân tán số tiền bị đánh cắp đến hơn 10 địa chỉ khác nhau. Sự kiện này đã phơi bày những thiếu sót nghiêm trọng của sàn giao dịch trong việc quản lý khóa riêng và bảo vệ an ninh đa lớp. Mặc dù sàn giao dịch đã cố gắng theo dõi hacker thông qua giám sát trên chuỗi và đóng băng tài sản, nhưng do Bitcoin bị đánh cắp đã bị phân tán và rửa qua công cụ trộn, công việc theo dõi gặp phải thách thức lớn.

Vào ngày 24 tháng 12, cảnh sát Nhật Bản xác nhận rằng vụ việc này do một tổ chức hacker quốc tế thực hiện.

2. PlayDapp bị tấn công mạnh

Số tiền thiệt hại: 290 triệu USD Phương thức tấn công: Rò rỉ khóa riêng

Vào ngày 9 tháng 2 năm 2024, PlayDapp đã bị tấn công nặng nề, hacker đã đánh cắp khóa riêng và đúc ra 2 tỷ token PLA, có giá trị ban đầu là 36,5 triệu USD. Do sự đàm phán giữa dự án và hacker không thành công, hacker đã nhanh chóng đúc thêm 15,9 tỷ token PLA, có giá trị 253,9 triệu USD. Sau khi một phần token được đưa vào sàn giao dịch, PlayDapp đã buộc phải tạm dừng hợp đồng PLA và chuyển sang hợp đồng token mới. Sự kiện này làm nổi bật những thiếu sót trong việc bảo vệ khóa riêng và xử lý khẩn cấp của các dự án blockchain.

3. Sàn giao dịch tiền điện tử lớn nhất Ấn Độ bị tấn công

Số tiền mất mát: 235 triệu đô la Mỹ Hình thức tấn công: Tấn công mạng và lừa đảo

Vào ngày 18 tháng 7 năm 2024, ví đa chữ ký Safe Wallet của sàn giao dịch tiền điện tử lớn nhất Ấn Độ đã bị tấn công chính xác. Kẻ tấn công đã sử dụng các phương pháp kỹ thuật xã hội để dụ dỗ những người ký đa chữ ký ký vào một giao dịch nâng cấp hợp đồng, sau đó đã lợi dụng quyền hạn của hợp đồng đã được nâng cấp để chuyển toàn bộ tài sản trong ví đi. Vụ việc này đã phơi bày những rủi ro tiềm ẩn của ví đa chữ ký liên quan đến cấu hình quyền hạn và tính minh bạch trong hoạt động, đồng thời thúc đẩy ngành công nghiệp suy nghĩ sâu sắc về cơ chế kiểm soát rủi ro nội bộ và an ninh của các dự án.

4. Gala Games gặp phải cuộc tấn công quy mô lớn

Số tiền mất mát: 216 triệu USD Phương thức tấn công: Lỗ hổng kiểm soát truy cập

Vào ngày 20 tháng 5 năm 2024, một địa chỉ đặc quyền của Gala Games đã bị tin tặc tấn công. Kẻ tấn công đã gọi hàm mint trong hợp đồng token, một lần đã đúc ra 5 tỷ GALA token. Sau đó, tin tặc đã đổi từng đợt token được phát hành thêm thành ETH, gây ra thiệt hại trực tiếp lên đến 216 triệu USD. Đội ngũ Gala Games đã khẩn trương kích hoạt chức năng danh sách đen để chặn một số tài khoản của tin tặc và đã thu hồi một phần thiệt hại thông qua các biện pháp pháp lý.

5. Đồng sáng lập của một dự án blockchain nổi tiếng bị tấn công

Số tiền mất mát: 1.12 triệu đô la Mỹ Phương thức tấn công: Rò rỉ khóa riêng

Vào ngày 31 tháng 1 năm 2024, bốn ví cá nhân của một trong những người đồng sáng lập của một dự án blockchain nổi tiếng đã bị hacker tấn công, dẫn đến việc 112 triệu đô la tiền điện tử bị đánh cắp. Những ví này đã trở thành mục tiêu tấn công do thiếu bảo vệ kép bằng thiết bị phần cứng. Sau sự cố, một sàn giao dịch lớn đã thành công trong việc đóng băng tài sản bị đánh cắp trị giá 4,2 triệu đô la và hỗ trợ theo dõi, nhưng phần lớn số tiền đã bị rửa qua sàn giao dịch phi tập trung và dịch vụ trộn tiền.

6. Munchables gặp phải sự xâm nhập từ bên trong

Số tiền lỗ: 62,5 triệu USD Phương thức tấn công: Tấn công kỹ thuật xã hội

Vào ngày 26 tháng 3 năm 2024, nền tảng trò chơi Web3 dựa trên Blast có tên Munchables đã gặp phải một cuộc tấn công xâm nhập nội bộ hiếm hoi. Kẻ tấn công đã ngụy trang thành nhà phát triển blockchain, thông qua việc ẩn nấp lâu dài để lấy được mã nguồn và các khóa nhạy cảm. Mặc dù gây ra thiệt hại lớn, nhưng dưới áp lực từ cộng đồng và đội ngũ, hacker cuối cùng đã trả lại toàn bộ số tiền bị đánh cắp. Sự kiện này đã làm nổi bật tầm quan trọng của an ninh chuỗi cung ứng, đặc biệt là đối với các dự án blockchain phụ thuộc vào phát triển của bên thứ ba.

7. Sàn giao dịch tiền điện tử ở Thổ Nhĩ Kỳ bị tấn công

Số tiền thiệt hại: 55 triệu USD Hình thức tấn công: Rò rỉ khóa riêng

Vào ngày 22 tháng 6 năm 2024, sàn giao dịch tiền điện tử lớn nhất của Thổ Nhĩ Kỳ đã bị tấn công do rò rỉ khóa riêng, gây thiệt hại hơn 55 triệu USD tài sản tiền điện tử. Với sự hỗ trợ của một đội ngũ từ một sàn giao dịch lớn, 5,3 triệu USD tiền bị đánh cắp đã được đông băng thành công, nhưng các tài sản khác vẫn chưa được thu hồi. Sự kiện này đã làm gia tăng lo ngại của thị trường về việc quản lý khóa riêng của các sàn giao dịch tập trung.

8. Ví đa chữ ký Radiant Capital bị tấn công

Số tiền mất mát: 53 triệu USD Phương thức tấn công: Rò rỉ khóa riêng

Vào ngày 17 tháng 10 năm 2024, ví đa ký của Radiant Capital đã bị hacker tấn công. Do áp dụng mô hình xác thực chữ ký 3/11 với ngưỡng thấp, hacker đã nắm giữ khóa riêng của 3 người ký và thực hiện ký ngoài chuỗi, chuyển quyền sở hữu hợp đồng ví sang địa chỉ độc hại, cuối cùng dẫn đến việc 53 triệu đô la bị đánh cắp. Cuộc tấn công này đã gợi ra sự suy ngẫm trong ngành về thiết kế và cơ chế quản trị của ví đa ký.

Cần lưu ý rằng, Radiant Capital đã mất 4,5 triệu đô la và hơn 1900 ETH do lỗ hổng hợp đồng trước khi cuộc tấn công này xảy ra. Điều này một lần nữa chỉ ra rằng mức độ chú trọng của các dự án Web3 đối với an ninh vẫn cần được nâng cao.

9. Hedgey Finance bị tấn công chuỗi chéo

Số tiền lỗ: 44,7 triệu USD Hình thức tấn công: Lỗ hổng hợp đồng

Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã遭遇 một cuộc tấn công nhằm vào nhiều hợp đồng trên chuỗi. Tin tặc đã lợi dụng lỗ hổng phê duyệt trong hợp đồng ClaimCampaigns của họ, thành công rút ra các token trên hai chuỗi Ethereum và Arbitrum, tổng thiệt hại lên tới 44,7 triệu USD. Sự kiện này làm nổi bật tầm quan trọng của việc kiểm toán mã, đặc biệt là việc xác minh chặt chẽ logic phê duyệt token.

10. Ví nóng của một sàn giao dịch tiền điện tử bị xâm nhập

Số tiền lỗ: 44,7 triệu USD Phương thức tấn công: Rò rỉ khóa riêng

Vào ngày 19 tháng 9 năm 2024, ví nóng của một sàn giao dịch tiền điện tử đã bị tin tặc xâm nhập, liên quan đến nhiều chuỗi công khai bao gồm Ethereum, BNB Chain, Tron, v.v. Mặc dù sàn giao dịch đã nhanh chóng khởi động cơ chế chuyển tài sản và đóng băng rút tiền, nhưng tin tặc đã thành công trong việc rút tài sản trị giá 44,7 triệu USD. Cuộc tấn công này lại một lần nữa phơi bày tính rủi ro cao trong việc quản lý ví nóng của các sàn giao dịch tập trung, thúc đẩy ngành khám phá các giải pháp lưu trữ tài sản an toàn hơn.

Sự gia tăng tần suất các sự kiện tấn công an ninh trong năm 2024 một lần nữa nhắc nhở chúng ta rằng sự phát triển của ngành công nghiệp blockchain không thể tách rời khỏi sự bảo vệ an toàn. Từ việc rò rỉ khóa riêng đến lỗ hổng hợp đồng, từ sự thiếu sót trong quản lý nội bộ đến sự nâng cấp của các phương thức tấn công bên ngoài, mỗi sự kiện đều mang lại bài học sâu sắc. Để đối phó với những mối đe dọa tấn công ngày càng phức tạp, các bên trong ngành cần liên tục tăng cường đầu tư vào nghiên cứu công nghệ, quy định quản lý và phòng ngừa rủi ro. Trong tương lai, chúng tôi mong đợi thông qua sự hợp tác trong ngành và đổi mới công nghệ, cùng nhau xây dựng một hệ sinh thái blockchain an toàn hơn, cung cấp sự bảo vệ đáng tin cậy hơn cho người dùng và nhà đầu tư.